Nun haben kriminelle Hacker Konten von deutschen Bankkunden über Sicherheitslücken im Mobilfunknetz ausgeräumt, über Sicherheitslücken, die seit Jahren bekannt sind. Eigentlich wollten die Provider schon 2014 entsprechende Gegenmaßnahmen ergreifen.
Zugriff auf die Mobil-TANs ist möglich
Sie werden uns als besonders sicher angepriesen, die mTANs: Kriminelle haben mit Zugriff auf das Online-Banking deutscher Bankkunden deren Konten ausgeräumt. Dies gelang ihnen wohl, in dem sie Mobil-TANs (mTANs), die für die Geräte der Kunden bestimmt waren, umleiteten und so die Überweisungen autorisieren konnten. Diese Umleitungen wurden offenbar durch seit Jahren bekannte Sicherheitslücken im SS7-Protokoll des UMTS-Netzes ermöglicht. Erst Ende März hatten Experten wieder vor diesen Lücken gewarnt. O2 Deutschland bestätigte gegenüber der Süddeutschen Zeitung, dass im Januar diesen Jahres entsprechenden Angriffe im eigenen Netz stattgefunden haben. ...
Hintergründe
Angriffe dieser Art werden meist wie folgt vorbereitet: Kriminelle sammeln die Konto- und Bank-Zugangsdaten des Opfers entweder mit Trojanern auf deren Rechnern ein, oder locken sie auf Phishing-Webseiten, die denen der entsprechenden Bank täuschend ähnlich sehen. Dort geben die Opfer die Daten dann ein, wenn sie versuchen, sich anzumelden. Mit diesen Informationen können sich die Kriminellen dann in das Online-Banking der Betroffenen einloggen und deren Kontostände auslesen.
Zugriff auf die Mobil-TANs ist möglich
Sie werden uns als besonders sicher angepriesen, die mTANs: Kriminelle haben mit Zugriff auf das Online-Banking deutscher Bankkunden deren Konten ausgeräumt. Dies gelang ihnen wohl, in dem sie Mobil-TANs (mTANs), die für die Geräte der Kunden bestimmt waren, umleiteten und so die Überweisungen autorisieren konnten. Diese Umleitungen wurden offenbar durch seit Jahren bekannte Sicherheitslücken im SS7-Protokoll des UMTS-Netzes ermöglicht. Erst Ende März hatten Experten wieder vor diesen Lücken gewarnt. O2 Deutschland bestätigte gegenüber der Süddeutschen Zeitung, dass im Januar diesen Jahres entsprechenden Angriffe im eigenen Netz stattgefunden haben. ...
Hintergründe
Angriffe dieser Art werden meist wie folgt vorbereitet: Kriminelle sammeln die Konto- und Bank-Zugangsdaten des Opfers entweder mit Trojanern auf deren Rechnern ein, oder locken sie auf Phishing-Webseiten, die denen der entsprechenden Bank täuschend ähnlich sehen. Dort geben die Opfer die Daten dann ein, wenn sie versuchen, sich anzumelden. Mit diesen Informationen können sich die Kriminellen dann in das Online-Banking der Betroffenen einloggen und deren Kontostände auslesen.
mTANs über Rufnummernumleitung abgegriffen
Um allerdings Überweisungen zu tätigen, brauchen sie entsprechende Transaktionsnummern (TANs). Benutzt der Bankkunde mTANs, können die Kriminellen zum Beispiel versuchen, dessen SIM-Karte vom Mobilfunkanbieter klonen zu lassen. Dafür geben sie sich in der Regel als der Kunde aus und beantragen eine zweite SIM, die etwa an eine gehackte Packstation oder ähnliche tote Briefkästen verschickt wird. Beim aktuellen Angriff gingen die kriminellen Hacker aber anscheinend noch raffinierter vor: Sie nutzen die SS7-Sicherheitslücken, um die SMS-Nachrichten mit den mTANs umzuleiten und so selbst zu empfangen. Wahrscheinlich taten sie das nachts, damit das Opfer nichts von der Umleitung mitbekommt.
Die Durchführbarkeit dieser Angriffe auf das mTAN-Verfahren ist seit langem bekannt. Sicherheitsforscher raten deswegen immer wieder davon ab, dieses Verfahren zu verwenden. Auch andere Systeme, die eine TAN auf ein Smartphone ausliefern, haben Schwachstellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Bankkunden, TAN-Generatoren wie das sogenannte ChipTAN-Verfahren zu verwenden. Manche Sicherheitsforscher schwören sogar noch auf altmodische TAN-Listen. Eigentlich wollten die Provider ihre Kunden seit 2014 schützen ☹.
Welche Banken von den Angriffen betroffen waren, ist bisher nicht bekannt.
Warum O2 sein Netz nicht wenigstens mit von Sicherheitsforschen empfohlenen Gegenmaßnahmen wie Plausibilitäts-Checks abgesichert hat, konnten wir bisher nicht in Erfahrung bringen. Eine entsprechende Anfrage von heise online lies O2 Deutschland bisher unbeantwortet. Schon Ende 2014 wollten eigentlich alle großen deutschen Provider, darunter auch O2 und E-Plus (mittlerweile ein Unternehmen), entsprechende Sicherheitsmaßnahmen ergriffen haben.
Wie es in Österreich und der Schweiz aussieht, ist noch offen! Doch unsicher ist das mTAN-System allemal - auch wenn von den Banken anderes verlautbart wird.
Quelle©: heise, u.a.
Bildquelle: pixabay
Link: https://heise.de/-3702194